suchen
HeimWeb-FrontendH5-TutorialDetaillierte grafische Erläuterung des Interface-Operation-Hijackings und der HTML5-Sicherheit

1. Interface-Operation-Hijacking

1) ClickJacking

ClickJacking ist eine Art visuelle Täuschung.

Der Angreifer verwendet einen transparenten und unsichtbaren IFFrame, um eine bestimmte Position auf der Webseite abzudecken und Benutzer zum Klicken auf den Iframe zu verleiten.

2) TapJacking

Mobile Geräte werden mittlerweile zunehmend genutzt Aus den Eigenschaften mobiler Geräte wird TapJacking (Touchscreen-Hijacking) abgeleitet.

Um Platz zu sparen, können mobile Browser die Adressleiste ausblenden, wodurch die visuelle Täuschung auf Mobiltelefonen einfacher zu implementieren ist.

1. Im ersten Bild wird oben die Adressleiste des Browsers angezeigt und der Angreifer zeichnet eine gefälschte Adressleiste auf die Seite; 2. Im zweiten Bild wurde die echte Browser-Adressleiste automatisch ausgeblendet, und jetzt ist nur noch die gefälschte Adressleiste auf der Seite übrig.

3 Im dritten Bild ist die Browser-Adressleiste normalerweise ausgeblendet . Situation.

Dieser visuelle Angriff kann für Phishing und Betrug ausgenutzt werden.

3) Es gibt einen Antwortheader X-Frame-Options

im HTTP-Header stehen drei Werte zur Auswahl:

1 . DENY: Diese Seite

erlaubt das Laden von Iframe-Seiten.

2. SAMEORIGIN: Diese Seite kann Iframe-Seiten mit demselben Domainnamen laden

.

3. ALLOW-FROM uri: Diese Seite kann die Iframe-Seite von der

angegebenen Quelle laden.

2. HTML5-Sicherheit

In HTML5 wurden einige neue -Tags und Attribute hinzugefügt, die zu neuen Änderungen bei Webangriffen wie XSS geführt haben . Diese Änderungen sind im

HTML5-Sicherheits-Cheatsheet

zusammengefasst. 1) Versteckter URL-Schadcode

Im reflektierten XSS wird Schadcode in die URL-Parameter geschrieben. In diesem Fall können Benutzer auch Schadcode sehen, beispielsweise den folgenden Link: Kann über window.history bedient werdenBrowserverlauf

.

http://www.csrf.net/csrf.html?id=<script>111</script>

pushState() hat drei Parameter: StateObject, Titel und optionale URL-Adresse.

Nach der Ausführung des obigen Codes werden die Parameter ausgeblendet.

history.pushState({},"", location.href.split(&#39;?&#39;).shift());

Die neue URL-Adresse lautet wie folgt:

„pushState“ kann auch gefälscht werden

Browserverlauf

.

2) Botnet unter HTML5

for(i=0; i<10; i++)
    history.pushState({},"", "/"+i+".html");

Botnet bezieht sich auf das Einschleusen spezifischer Schadprogramme in ein Eine große Anzahl von Computern ermöglicht es dem Controller, Anweisungen über mehrere Computer direkt an andere Computer zu senden, um Netzwerkangriffe durchzuführen.

Botnets, die auf Web-Frontends basieren, können als DDOS-Angriffe verwendet werden, was

Web Worker-Technologie

und

beinhaltet CORS-Verarbeitungsmechanismus

und dann über Webwürmer verbreitet. Web Worker ist ein Multithread-Mechanismus, der bösartigen JS-Code asynchron ausführen kann, ohne den normalen Betrieb des Benutzers im Browser zu beeinträchtigen. Der CORS-Verarbeitungsmechanismus funktioniert auf Browserebene. Wenn der Server keine standortübergreifenden Anforderungen zulässt, fängt der Browser die vom Server zurückgegebenen Ergebnisse ab, was bedeutet, dass der Server normal auf domänenübergreifende Anforderungen reagiert .

那么就可以事先写好一段异步请求的脚本(worker.js),然后通过Web Worker来执行这段脚本,不断的向目标服务器发起请求。

var worker_loc = &#39;worker.js&#39;;//封装了ajax请求的脚本
var target = &#39; 
//可实例化多个
Web Workervar workers = [];for (i = 0; i < 1; i++) {
      workers[i] = new Worker(worker_loc);
      workers[i].postMessage(target);//跨域消息传递}

Das obige ist der detaillierte Inhalt vonDetaillierte grafische Erläuterung des Interface-Operation-Hijackings und der HTML5-Sicherheit. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
H5 und HTML5: häufig verwendete Begriffe in der WebentwicklungH5 und HTML5: häufig verwendete Begriffe in der WebentwicklungApr 13, 2025 am 12:01 AM

H5 und HTML5 beziehen sich auf dasselbe, nämlich HTML5. HTML5 ist die fünfte Version von HTML, die neue Funktionen wie semantische Tags, Multimedia -Support, Leinwand und Grafiken, Offline -Speicher und lokaler Speicher bietet, die Ausdrucksfähigkeit und Interaktivität von Webseiten verbessert.

Worauf bezieht sich H5? Erforschen des KontextesWorauf bezieht sich H5? Erforschen des KontextesApr 12, 2025 am 12:03 AM

H5REFERSTOHTML5, ApivotaltechnologyInwebdevelopment.1) HTML5IntroducesNewelementsandapisrich, Dynamicwebapplications.2) ITSUPP ortsmultimediaWitHoutPlugins, BETHINGINGUSEREXPERICERCROSSDEVICES.3) SEMANTICELEMENTSIMPROVEPENTENTENTENTRUCTENTRUCTELUREANDSEO.4) H5'SRespo

H5: Tools, Frameworks und Best PracticesH5: Tools, Frameworks und Best PracticesApr 11, 2025 am 12:11 AM

Zu den Tools und Frameworks, die in der H5 -Entwicklung gemeistert werden müssen, gehören Vue.js, React und WebPack. 1.Vue.js eignet sich zum Erstellen von Benutzeroberflächen und unterstützt die Komponentenentwicklung. 2. Die Rendern des Seitenrenders über virtuelle DOM optimiert, geeignet für komplexe Anwendungen. 3.Webpack wird zur Modulverpackung und zur Optimierung der Ressourcenlast verwendet.

Das Erbe von HTML5: H5 in der Gegenwart verstehenDas Erbe von HTML5: H5 in der Gegenwart verstehenApr 10, 2025 am 09:28 AM

HTML5hassignificantlytransformedwebdevelopmentbyintroducingsemanticelements,enhancingmultimediasupport,andimprovingperformance.1)ItmadewebsitesmoreaccessibleandSEO-friendlywithsemanticelementslike,,and.2)HTML5introducednativeandtags,eliminatingthenee

H5 -Code: Zugänglichkeit und semantische HTMLH5 -Code: Zugänglichkeit und semantische HTMLApr 09, 2025 am 12:05 AM

H5 verbessert die Zugänglichkeits- und SEO -Effekte der Webseiten durch semantische Elemente und Aria -Attribute. 1. Verwendung usw., um die Inhaltsstruktur zu organisieren und SEO zu verbessern. 2. ARIA-Attribute wie ARIA-Label verbessern die Zugänglichkeit, und assistive Technologie-Benutzer können Webseiten reibungslos verwenden.

Ist H5 gleich wie HTML5?Ist H5 gleich wie HTML5?Apr 08, 2025 am 12:16 AM

"H5" und "HTML5" sind in den meisten Fällen gleich, haben jedoch möglicherweise unterschiedliche Bedeutungen in bestimmten Szenarien. 1. "HTML5" ist ein W3C-definierter Standard, der neue Tags und APIs enthält. 2. "H5" ist normalerweise die Abkürzung von HTML5, kann jedoch in der mobilen Entwicklung auf ein auf HTML5 basierendes Framework verweisen. Das Verständnis dieser Unterschiede trägt dazu bei, diese Begriffe in Ihrem Projekt genau zu verwenden.

Was ist die Funktion von H5?Was ist die Funktion von H5?Apr 07, 2025 am 12:10 AM

H5 oder HTML5 ist die fünfte Version von HTML. Es bietet Entwicklern ein stärkeres Toolset, so dass es einfacher ist, komplexe Webanwendungen zu erstellen. Die Kernfunktionen von H5 umfassen: 1) Elemente, mit denen Grafiken und Animationen auf Webseiten zeichnen können; 2) semantische Tags wie usw., um die Webseitenstruktur klar und förderlich für die SEO -Optimierung zu machen; 3) neue APIs wie GeolocationAPI unterstützen standortbasierte Dienste; 4) Die Kompatibilität des Cross-Browsers muss durch Kompatibilitätstests und Polyfill-Bibliothek gewährleistet werden.

So machen Sie H5 -LinkSo machen Sie H5 -LinkApr 06, 2025 pm 12:39 PM

Wie erstelle ich einen H5 -Link? Bestimmen Sie das Linkziel: Holen Sie sich die URL der H5 -Seite oder -Anwendung. Erstellen Sie HTML -Anker: Verwenden Sie das & lt; a & gt; Tag, um einen Anker zu erstellen und die Link -Ziel -URL anzugeben. Link -Eigenschaften festlegen (optional): Setzen Sie nach Bedarf Ziel-, Titel- und Onclick -Eigenschaften. Zu der Webseite hinzufügen: Hinzufügen von HTML -Ankercode zur Webseite, auf der der Link angezeigt werden soll.

See all articles

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

AI Hentai Generator

AI Hentai Generator

Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

R.E.P.O. Energiekristalle erklärten und was sie tun (gelber Kristall)
3 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Beste grafische Einstellungen
3 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. So reparieren Sie Audio, wenn Sie niemanden hören können
3 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌
WWE 2K25: Wie man alles in Myrise freischaltet
4 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌

Heiße Werkzeuge

VSCode Windows 64-Bit-Download

VSCode Windows 64-Bit-Download

Ein kostenloser und leistungsstarker IDE-Editor von Microsoft

SublimeText3 Linux neue Version

SublimeText3 Linux neue Version

SublimeText3 Linux neueste Version

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

Leistungsstarke integrierte PHP-Entwicklungsumgebung

SublimeText3 Englische Version

SublimeText3 Englische Version

Empfohlen: Win-Version, unterstützt Code-Eingabeaufforderungen!

Herunterladen der Mac-Version des Atom-Editors

Herunterladen der Mac-Version des Atom-Editors

Der beliebteste Open-Source-Editor